Sehr viel Spam (Webhosting2000)

  • Hallo an alle, mein erster Beitrag hier. :)


    Wir sind mit unserem kleinen Webhosting zu netcup (webhosting2000) umgezogen. Es hat alles gut geklappt und das Hosting lässt sich ordentlich administrieren. Nachdem die Mailkonten produktiv gegangen sind, ist jedoch ein massiver Spam-Eingang auf einer Adresse zu verzeichnen (Sonntag zu Montag ca. > 50 Spammails). Das ist auf den ersten Blick nicht verwunderlich, ist diese doch ungeschützt auf der Website veröffentlicht (die Seite ist alt und schlecht gebaut - das ist noch eine Baustelle). Die Spammails werden immerhin recht zuverlässig gekennzeichnet (Standard-Filterstufe).


    Auffällig ist, dass wir beim alten Hoster (und gleicher Website) solch ein Spam-Aufkommen nicht ansatzweise hatten. Ich betreibe darüber hinaus auch selbst einen Mailserver, der bei Spamhaus gelistete Adressen per Postscreen blockt. Dort habe ich ebenfalls kaum Spam. Deshalb war die Überraschung über das Spamvolumen auf dem netcup-Hosting schon groß. Kann es sein, dass netcup keine postscreen-Filterung betreibt? Oder gibt es eine andere Erklärung dafür? Auch wenn die Erkennung funktioniert, ist es doch lästig (und inakzeptabel), wöchentlich hunderte Mails auf etwa versehentlich gefilterte erwünschte Nachrichten checken zu müssen. Gibt es eine Lösung hierfür?

  • Das Checken auf etwa versehentlich gefilterte erwünschte Nachrichten kannst Du Dir freilich sparen, wenn die gefilterten Mails einfach gelöscht werden. Aus den Augen, aus dem Sinn. Da kein Filter perfekt ist und auch keine Blacklist, würde ich so etwas nicht wollen. Die Auswirkungen dieser Unsitte erlebe ich Tag für Tag, es wird immer schwieriger E-Mails zuverlässig an Empfänger zuzustellen, obwohl diese oft sogar auf den Empfang dieser E-Mails angewiesen sind. Schon öfter musste ich telefonisch darum bitten, mir eine alternative Adresse zu nennen, weil eine wichtige E-Mail schlicht nicht bis zum Empfänger durchzubringen war. Wöchentlich Hunderte Mails ist doch sogar noch eher wenig. Kostet mich vielleicht 5-10 Minuten pro Woche. Da ich das täglich mache also vielleicht 1-2 Minuten pro Tag.

  • False positive bei einer Domain, die bei Spamhaus gelistet ist? Wohl eher unwahrscheinlich. Wer dort 'false' gelistet ist, der kümmert sich ganz schnell. Im Übrigen bekommt der Absender bei postcreen ja sofort eine Rückmeldung vom Server.


    Ich möchte hier auch die Frage des Sinnes einer Technik nicht weiter erörtern. Ich wäre lediglich dankbar für die Klärung, möglichst durch einen Hinweis vom Support, ob das sehr auffällig erhöhte Spamaufkommen auf der Adresse seit dem Wechsel zu netcup technisch bedingt ist (kein postscreen o.ä.) oder ob es auch bei netcup noch eine Lösung zum dargestellten Problem gibt.

  • Ich bezweifle, dass das Spamaufkommen höher ist als vorher. Sie werden einfach nicht mehr automatisch gelöscht oder abgelehnt.


    Wie hast du denn vorher

    versehentlich gefilterte erwünschte Nachrichten

    behandelt?

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

  • tab: vielen Dank für die Antwort. Bestätigst Du also aus eigener Kenntnis, dass netcup keine postscreen-Filterung macht oder sind das eher allgemeine Ausführungen?

    Wir betreiben unsere Site seit 10 Jahren und hatten nie, nicht ein einziges Mal, eine Beschwerde, dass eine Mail nicht durchgekommen ist. Und trotzdem kaum Spam. Wie das technisch gemacht wird, ist mir eigentlich egal, aber es funktionierte eben beim bisherigen Hoster und seit dem Umzug zu netcup haben wir eben auffällig viel Spam. Pauschales Löschen finde ich technisch im Verhältnis zu postscreen unverhältnismäßig: Bei postscreen bekommt der Absender noch während des Sendevorganges eine Rückmeldung über die Unzustellbarkeit, weiß also sofort, dass er einen anderen Kontaktweg einschlagen muss. Wird die Mail hingegen (in den Spamordner) zugestellt, geht der Absender davon aus, dass mich die Mail erreicht hat.

    Vielleicht kann ja immer noch ein Supporter meine Fragen beantworten?

  • @sdellenb: Auch Dankeschön!

    Sehe ich auch so. Die Adresse wurde sicher schon früher mit Spam "bombardiert". Der alte Hoster hat sie aber offenbar nicht durchgelassen.

    Und genau darum geht es: Die Ablehnung von eindeutigen Spam-Mails. Vermutlich findet diese bei netcup nicht statt. Das ist ja auch völlig in Ordnung, wenn man das dort technisch so sieht. Die obigen Argumente von tab und Erich teile ich jedoch nicht. Wer bei Spamhaus gelistet ist, gehört nicht in meine Mailbox und den möchte ich auch nicht per Hand vom Personal wegsortieren lassen. Die Mitarbeiter haben genug zu tun.

    Beim alten Hoster hatte ich noch nicht einmal die Spam-Filterung aktiviert. Alle Mails (die durchkamen) gingen ins Postfach. Trotzdem kaum Spam.

    Mache ich auf meinem eigenen Server auch so. Dort läuft postscreen, alles andere (was durch kommt) geht ins Postfach (muss ja eh angeguckt werden). Das ist aber extrem wenig.

    Von einem professionellen Hoster erwarte ich natürlich, dass sinnvolle Schutzsysteme kombiniert werden (und für die, die es mögen, alles auch abschaltbar ist). Bestimmt ist das bei netcup so und ein Supporter erklärt das noch - bzw. ggf. warum die policy hier anders gewählt wurde. Es gibt in der IT ja immer mehrere Wege und man muss sich entscheiden.

  • Wieso fokussierst du dich so auf postscreen? Ich habe von der Anwendung noch nie gehört.


    Effektiv gegen Spam hilft, wenn der Mailserver direkt während des Annehmens schon rejected. Dann sinkt im Lauf der Zeit der Spamanteil merklich. Es gab hierzu im Forum schon einige Diskussionen, ob man jede Mail pauschal annimmt und dann erst überprüft oder auch mal Mails frühzeitig im smtp-Dialoag rejected. Ich würde mich wundern, wenn netcup letzteres nicht auch schon standardmäßig macht. Hierzu kann aber nur jemand von netcup selbst etwas sagen, z.B. [netcup] Felix P. .

    "Security is like an onion - the more you dig in the more you want to cry"

  • Danke vmk. Ich fokussiere mich nicht auf postscreen. Ich weiß nicht, ob es andere Anwendungen im Hosting-Bereich gibt, die das machen, was Du beschreibst, nämlich den frühzeitigen, effektiven (und für den Absender erkennbaren) reject. Postscreen macht genau das, deshalb habe ich es erwähnt.

    Alles andere, was ich kenne, lässt die Mail erst durch und filtert dann. Postscreen wird allgemein (ich kenne aber nur den nichtprofessionellen Bereich) als bemerkenswert effektiv angesehen. Websuche, wenn es dich interessiert: "Thomas Leister Mailserver" oder "Thomas Leister postscreen". Auch postfix.org hat eine eigene Seite dazu und das Linux-Magazin einen langen Artikel.


    Wie der professionelle Hoster das Zurückweisen gelisteter Spammer seinerseits umsetzt, ist mir völlig egal. Hauptsache, er macht es. Wer gute Filtertechnik einmal erlebt hat, will nichts anderes mehr. Filtern ohne Zurückweisung kann nur die zweite Stufe sein, meine Meinung.


    Und ja, mich würde es auch wundern, wenn netcup das nicht macht. Allerdings kommt bei uns eben plötzlich der ganze Müll durch. Deshalb habe ich hier gefragt.

  • Exim, postfix und qmail können seit Jahren während des SMTP-Dialogs die Mails untersuchen und dann ablehnen. Das habe ich schon vor 10 Jahren so gemacht. Das ist auch ein Standard-Feature eines Mailservers. Was der Sinn einer Zusatzsoftware sein soll, das erschließt sich mir nicht. Die 3 Programme sind aber der Standard für Linux.


    PS: Ja, es gibt noch courier. Das war auch mal verbreitet, zumindest unter dem Begriff MTA/etc.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Entschuldige bitte Meister, das erscheint mir nicht korrekt dargestellt: Exim, postfix und courier sind (nur) sog. MTA's. Die können auch ein bisschen filtern. Standard ist eine umfassende Filterung aber durch diese bestimmt nicht. Die MTAs übergeben die Mails dazu vielmehr üblicher Weise an spezielle Programme, die als 'Milter' bezeichnet werden. Da gibt es zB amavis, procmail und bestimmt noch einige mehr. Richtig ist, dass die MTAs postfix und Co. dann für die Meldung der Zurückweisung zuständig sind (wenn das im smtp-Dialog vorgesehen ist). Hübsch erklärt ist das zB bei Ubuntuusers "Mailserver-Einführung"

    Ich gebe Dir aber im Kern völlig recht: frühzeitig im smtp-Dialoag rejecten ist der Schlüssel. Wie, ist egal, solange es effektiv ist.

    Deshalb: Das soll hier keine technische Diskussion sein. Maßgeblich ist allein die Klärung der Frage: Warum lässt netcup bei unserer Adresse so viel Spam durch?

  • Maßgeblich ist allein die Klärung der Frage: Warum lässt netcup bei unserer Adresse so viel Spam durch?

    Könnten Sie uns dazu bitte eine E-Mail samt Header von nicht erkannten Spam senden? Unsere Techniker prüfen das gerne für Sie. Bitte gerne auch auf diesen Beitrag hier im Ticket verweisen.


    Vielen Dank!



    Mit freundlichen Grüßen


    Felix Preuß

  • felix: Danke, das ist sehr Aufmerksam, dass Sie hier schreiben. Mache ich gern.


    Aber: Das Problem ist, wie oben steht, nicht, dass Spam 'nicht erkannt' wird. Spam wird gut erkannt. Das Problem ist (in Beitrag #1 beschrieben), dass Nachrichten von klar erkennbaren (Spamhaus) Spammern nicht von vornherein zurück gewiesen werden, sondern überhaupt noch (markiert im Postfach oder im Spamordner) im Postfach landen. Das macht bei viel Spam einen erheblichen und unnötigen Aufwand.

    Meister hat dies in Beitrag #11 nochmals auf den Punkt gebracht: Spam möglichst bereits während des SMTP-Dialogs rejecten. Nur was dort nicht erkannt wird, landet im Spamordner. Die Funktionalität des exemplarisch von mir beschriebenen Milters postscreen beschreibt folgender Link - aber Ihre Techniker haben da sicher noch ein paar ganz andere Asse im Ärmel:


    https://legacy.thomas-leister.…bwehr-nur-mit-postscreen/

    Wie auch immer netcup das Filtern umsetzt: Offenbar hatte unser vorheriger Hoster so einen Schutz, anders lässt sich sonst wohl nicht erklären, dass wir bis zum Umzug kaum Spam hatten und jetzt so viel.

  • Also nach meinen rechtlichen Kenntnissen darf ein Hoster nicht von sich aus in eine E-Mail-Kommunkation so eingreifen, dass sie unterbrochen wird. Das wäre so, als wenn die Post Briefe aussortiert. Gerne lasse ich mich eines besseren belehren.


    Spamhaus ist für uns übrigens keine zu 100% zuverlässige Quelle. Siehe dazu: https://www.heise.de/newsticke…n-der-Kritik-2218458.html oder https://www.heise.de/newsticke…g-unter-Druck-141727.html


    Die nic.at wird von vielen unserer Kunden als Lieferant genutzt.


    Via Sieve sollten sie Mails auch so aussortieren können, dass sie nicht im Spam-Ordner aufgelistet werden.



    Mit freundlichen Grüßen


    Felix Preuß

  • Also nach meinen rechtlichen Kenntnissen darf ein Hoster nicht von sich aus in eine E-Mail-Kommunkation so eingreifen, dass sie unterbrochen wird. Das wäre so, als wenn die Post Briefe aussortiert.


    Als analoges Beispiel sage ich immer: Der Schalterbeamte verweigert aufgrund formaler Kriterien die Annahme des Briefs - Genau das ist ein reject während des SMTP-Dialogs. Der Kunde am Schalter bekommt das direkt mit - Eine Mail gilt nach RFC erst an den nächsten Mailserver übergeben, wenn hier der korrekte Return Code geliefert wird. Bei einem reject während des Dialoges bleibt der Einliefernde auf seiner Sendung sitzen.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Nochmals vielen Dank! Ja, ich habe schon in einem anderen Thread gelesen, dass Sie da eine rechtliche Problematik sehen. Ich kann das nicht beurteilen. Wenn es ein (abschaltbares Feature) wäre, entschiede das der Kunde, vielleicht würde das die Lage vereinfachen? Unser alter Hoster war nicht irgendeine kleine Bude, aber das muss natürlich nichts heißen. Mein Beispiel mit Spamhaus war auch nur ein Beispiel, ich bin ja nicht der professionelle Hoster ;) Ob und wie dieser das umsetzt ist seine Sache.

    Ob ich ein Sieve-Script finde, das die Spamhaus-Listen ausliest und auf dem Hosting zum Laufen bringe... Eigentlich hab ich dafür ein Webhosting. Vielleicht dann doch lieber gleich einen VServer.
    Auf jeden Fall danke für die nun klare Antwort, die ich so verstehe und auch akzeptiere (auch wenn sie das Problem nicht löst).


    Netcup rejected nicht im SMTP-Dialog, weil rechtliche Probleme bestehen könnten. Korrekt?


    Ob das ein no go ist, werden wir im Team klären. Ich fürchte aber ja. Was schade ist, denn das Paket gefällt mir sonst sehr gut. Schönen Feierabend!

  • Tja, wäre eine spanende rechtliche Frage: Darf der Postbote den Teil meiner Post entsorgen, den er z.B. für Werbung hält. So ohne weiteres sicher nicht, aber wie sieht es aus, wenn ich ihm das explizit erlaube? Das wäre dann praktisch das Analogon eines Schalters, mit dem der Kunde das hier gewünschte Verhalten aktivieren kann. Damit haftet dann der Empfänger allerdings auch für alle Schäden, die durch etwaige false positives entstehen können.


    Anyway, ist halt nicht. Mir macht es nichts aus und ihr könnt ja sehr wahrscheinlich noch die Zufriedenheitsgarantie nutzen.